计算机安全扫描.ppt

1,计算机安全技术,网络攻击与防御,2,攻击技术,如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要包括五个方面： 1、踩点 ：调查被攻击的目标 2、网络扫描和监听：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备 3、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获取信息 4、网络后门：成功入侵目标计算机后，为了对“战利品”的长期控制，在目标计算机中种植木马等后门 5、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现3,攻击和安全的关系,黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车 某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施 网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击4,主要攻击技术,扫描技术 协议分析（嗅探器） 网络入侵 网络欺骗 网络后门,5,计算机网络系统的组成,硬件 网络节点 端节点：计算机 中间节点：交换机、集中器、复用器、路由器、中继器 通信链路：信息传输的通道 物理：传输介质 逻辑：信道 类比——CATV的电缆和频道之间的关系 软件 通信软件（网络协议软件） 网络操作系统 网络管理/安全控制软件、网络应用软件,6,扫描攻击(scan),7,网络踩点,踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确）。

常见的踩点方法包括： 在域名及其注册机构的查询（whois） 公司性质的了解 对主页进行分析 邮件地址的搜集 目标IP地址范围查询踩点的目的就是探察对方的各方面情况，确定攻击的时机模清除对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略8,网络扫描,第二步执行扫描 一般分成两种策略: 一种是主动式策略 另一种是被动式策略 扫描 利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞 扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等 根据扫描结果向扫描者或管理员提供周密可靠的分析报告,9,扫描器（scanner）,扫描器是一种自动检测远程或本地主机安全性弱点的软件主要有端口扫描器和漏洞扫描器两种扫描器通常集成了多种功能端口扫描器的作用是进行端口探测，检查远程主机上开启的端口漏洞扫描器则是把各种安全漏洞集成在一起，自动利用这些安全漏洞对远程主机尝试攻击，从而确定目标主机是否存在这些安全漏洞因此，扫描器是一把双刃剑，系统管理员使用它来查找系统的潜在漏洞，而黑客利用它进行攻击10,扫描攻击的目的,目标主机运行的操作系统,是否有的安全保护措施,运行那些服务,服务器软件的版本,存在哪些漏洞,目标网络的网络拓扑结构,11,扫描类型,网络(地址)扫描 发现活动主机，获取网络拓扑结构 端口扫描 确定运行在目标系统上的TCP和UDP服务 确定目标系统的操作系统类型 确定特定应用程序或特定服务的版本 漏洞扫描 确定特定服务存在的安全漏洞,,12,网络扫描－了解网络情况,目的黑客首先希望了解你的网络中的详细情况，比如网络拓扑结构，活动主机IP地址，主要服务器，路由器和防火墙。

黑客使用扫描工具一般先扫描你的网关、DMZ系统，各种服务器等Internet周边环境，在控制了你的网络周边环境后，再继续攻击你的内部网络种类,发现活跃主机,跟踪路由,13,发现活跃主机,Ping：发送一个ICMP回显请求(echo request)数据包，如果目标主机响应一个ICMP回显应答响应(echo replay)数据包，则表示这是一个活跃主机TCP扫描：许多网络防火墙都阻塞ICMP消息，因此，发送一个TCP ack包到80端口，如果获得了RST返回，机器是活跃的14,TTL&Hop基本概念,,跳(Hop)：IP数据包经过一个路由器就叫做一个跳TTL在路由器中如何工作？,当路由器收到一个IP数据包时，它首先将这个IP数据包的TTL字段减1，如果TTL为0则路由器抛弃这个数据包，并向源IP地址发送一个连接超时的ICMP数据包如果不为0则根据路由表将这个数据包发送到下一个路由器或目的网络15,跟踪路由(tracerouting),黑客可以利用TTL值来确定网络中数据包的路由路径，通过发送一系列TTL值递增的数据包来发现到达目的主机的路由路径Unix下的跟踪路由工具是Traceroute，发送有递增的TTL值的UDP数据包，同时寻找返回的ICMP超时消息。

windows下的跟踪路由工具是tracert黑客使用跟踪路由（tracerouting）技术来 确定目标网络的路由器和网关的拓扑结构16,如何防御网络扫描,利用防火墙和路由器的数据包过滤功能来阻塞这些消息，还应该阻塞所有流入的ICMP消息，另外，也可以过滤从你的网络流出的ICMP超时信息，从而完全拒绝traceroute的访问17,常见的端口扫描技术,TCP connect扫描,SYN扫描,FIN扫描,反向映射扫描,慢速扫描,UDP扫描,IP分片扫描,FTP反弹扫描,ident扫描,RPC扫描,源端口扫描,18,被扫描主机的响应,TCP扫描的响应： 目标主机响应SYN/ACK，则表示这个端口开放 目标主机发送RST，则表示这个端口没有开放 目标主机没有响应，则可能是有防火墙或主机未运行UDP扫描的响应： 目标主机响应端口不可达的ICMP报文则表示这个端口关闭 目标主机没有响应，并且目标主机响应了ping，则这个端口被打开，如果防火墙阻塞了ICMP消息，则这个端口可能是关闭的19,OS fingerprinting 操作系统的指纹识别,根据不同类型的操作系统的TCP/IP协议栈的实现特征(stack fingerprinting)来判别主机的操作系统类型。

不同的操作系统厂商的TCP/IP协议栈实现存在细微差异，对于特定的RFC文档作出不同的解释向目标主机发送特殊的数据包，然后根据目标主机的返回信息在扫描工具的操作系统指纹特征数据库中查找匹配的操作系统名20,主动与被动的协议栈指纹识别,主动协议栈指纹识别：扫描器主动地向目标系统发送特殊格式的数据包，这种方式可能会被网络IDS系统检测出来被动协议栈指纹识别：通过被动地监听网络流量，来确定目标主机地操作系统一般根据数据包的一些被动特征：TTL，窗口大小，DF等21,扫描应用软件版本,在第一次连接时，许多软件都公布了版本号(如sendmail,FTP,IMAPD，Apache等)黑客根据这些连接信息(banner)就可以知道目标的应用软件的版本信息根据版本号很容易在网上查到它的已知漏洞，根据这些漏洞对目标主机进行攻击22,常见的扫描工具,NAMP，winmap www.insecure.org,Foundstone公司的Robin keir开发的superscan ,流光 fluxay4.7 最好的开放源代码风险评估工具，可以运行在Linux、BSD、Solaris能够完成超过1200项的远程安全检查，具有多种报告输出能力。

并且会为每一个发现的安全问题提出解决建议 网址：http://www.nessus.org ISS Internet Scanner：应用层风险评估工具，商业漏洞扫描软件 X-Scan等,,25,案例漏洞扫描,使用工具软件X-Scan-v3.3 该软件的系统要求为：Windows 9x/NT4/2000该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式 扫描内容包括： 远程操作系统类型及版本 标准端口状态及端口Banner信息 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER NT-SERVER弱口令用户，NT服务器NETBIOS信息 注册表信息等26,主界面,扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件主界面如图4-14所示27,扫描参数,可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描参数”，扫描参数的设置如图4-15所示28,扫描参数,可以看出该软件可以对常用的网络以及系统的漏洞进行全面的扫描，选中几个复选框，点击按钮“确定”。

下面需要确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”，扫描一台主机，在指定IP范围框中输入：172.18.25.109-172.18.25.109，如图4-16所示29,漏洞扫描,设置完毕后，进行漏洞扫描，点击工具栏上的图标“开始”，开始对目标主机进行扫描，如图4-17所示30,嗅探（Sniffer）技术,,31,网络监听,在一个共享式网络，可以听取所有的流量 是一把双刃剑 管理员可以用来监听网络的流量情况 开发网络应用的程序员可以监视程序的网络情况 黑客可以用来刺探网络情报 目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer),32,Sniffer(嗅探器)简介,嗅探器是能够捕获网络报文的设备（软件或是硬件），嗅探器这个术语源于通用网络公司开发的能够捕获网络报文的软件Sniffer从此以后Sniffer就成为这类产品的代名词，所有协议分析软件都被称为SnifferSniffer的工作在很大程度是是依赖于目前局域网（以太网）以及网络设备的工作方式它主要针对协议栈的数据链路层33,以太网络的工作原理,载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术 载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲 如果空闲，就传输自己的数据 如果信道被占用，就等待信道空闲 而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突 以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据,34,以太网卡的工作模式,网卡的MAC地址(48位) 通过ARP来解析MAC与IP地址的转换 用ipconfig/ifconfig可以查看MAC地址 正常情况下，网卡应该只接收这样的包 MAC地址与自己相匹配的数据帧 广播包 网卡完成收发数据包的工作，两种接收模式 混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来 非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包) 为了监听网络上的流量，必须设置为混杂模式,35,共享网络和交换网络,共享式网络 通过网络的所有数据包发往每一个主机 最常见的是通过HUB连接起来的子网交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上,36,共享式网络示意图,37,Sniffer的原理,监听器Sniffer的原理： 在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。

因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃 但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来然后对数据包进行分析，就得到了局域网中通信的数据 一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。